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(57) Abstract 

Elliptical curve based cryptographic algorithms arc public key algorithms offering a shorter calculation time and smaller key sizes in 
comparison with RSA. The application thereof in a chipcard type environment has proved to be vulnerable to differential power analysis 
(DP A) attacks. The invention describes a countermeasure procedure enabling positive action to be taken against DPA type attacks. The 
countermeasure does not reduce performance and is easy to use in a chipcard type component. 



(57) Abr^g^ 

Les algorithmes cryptographiques ^ base de courbes elliptiques sont des algorithmes ^ clef publique prfoentant sur RSA I'avantage 
de temps de calcul pr6sentant sur RSA Tavantage de temps de calcul plus faible et de taille de clefs plus petitcs. II est apparu que leur 
application dans le cadre d*un environnement de type carte ^ puce 6tait vulndrable ^ des attaques de type DPA (Differential Power Analysis). 
La pr^ente invention consiste en la description d*un proc^6 de contre-mesure peimettant de se prfimunir centre ce type d*attaque DPA. 
Cette contre-mesure ne diminue pas les performances et est facilement utilisable dans un composant de type carte ^ puce. 
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PROCEDES DE CONTRE-MESURE DANS UN COMPOSANT 
ELECTRONIQUE METTANT EN OEUVRE UN ALGORITHME DE 
CRYPTOGRAPHIE A CLE PUELIQUE DE TYPE COURBE ELLIPTIQUE 

La presente invention concerne un precede de 
cont re-mesure dans un composant ej.ect ronique 
mettant en ceuvre un algorithme de chiffrement a 
5 cle publique de type courbe elliptique. 

Dans le modele classique de la crypt ographie a 
clef secrete, deux personnes desirant 

communiquer par 1 ' intermediair e d' un canal non 

10 securise doivent au prealable se mettre d' accord 
sur une cle secrete de chiffrement K. La 
fonction de chiffrement et la fonction de 
. dechif f rement utilisent la meme clef K. 
L ' inconvenient- du systeme de chiffrement a cle 

15 secrete est que ledit systeme requiert la 
communication prealable de la cle K entre les 
deux personnes par 1 ' intermediair e d' un canal 
securise, avant qu'un quelconque message chiffre 
ne soit envoye a travers le canal non securise. 

20 Dans la pratique, il est generalement difficile 
de trouver un canal de communication 
parfaitement securise, surtout si la distance 
separant les deux personnes est importante. On 
entend par canal securise un canal pour lequel 

25 il- est impossible de connaitre ou de modifier 
les informations qui transitent par ledit canal. 
Un tel canal securise peut etre realise par un 
cable reliant deux terminaux, possedes par les 
deux dites personnes. 



30 
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Le concept de crypt ographi e a clef publique fut 
invente par Whitfield DIFFIE et Martin HELLMAN 
en 1976. La cryp tographi.e a clef publique permet 
de resoudre le probleme de la distribution des 
5 clefs a travers un canal non securise. Le 
principe de la crypt ographie a clef publique 
consiste-^ utiliser une paire de clefs, une clef 
publique de chiffrement et une clef privee de 
dechiffrement. il doit etre cal cula t oirement 
10 infaisable de trouver la clef privet de 
dechiffrement a partir de la clef publique de- 
chiffrement. Une personne A desirant communiquer 
une information a une personne B utilise. la clef 
publique de chiffrement de la personne B. Seule 
la personne B possede la clef privee associee a 
sa clef publique. Seule la personne B est ■ done 
capable de dechiffrer le message qui lui est 
adr es s e . 

20 Un autre avantage de la cryptographie ^ ale 
publique sur la cryptographie a cl6 secrete est 
que la cryptographie a clef publique permet 
I'authentification par 1 ' utilisation • de 

signature elect ronique . 



15 



30 



a 



La premiere realis ation • de schema de chiffrement 
clef publique fut mis au point en 1977 par 
Rivest, Shamir et Adleman, qui ont invente le 
systeme de chiffrement RSA. La securite de " RSA 
repose sur la difficulte de factoriser un grand 
nombre qui est le produit de deux nombres 
premiers . 
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Depuis, de nombreux systemes de chiffrement a 
clef pubiique ont ete proposes, dont la securite 
repose sur differents problemes calculatoires : 
(cette liste n'est pas exhaustive) - 

5 

- Sac a dos de Merckle-Hellman : 

Ce systeme de chiffrement est base sur la 
difficulte du probleme de la somme de sous- 
ensembles . 

10 

- McEliece : 

Ce systeme de chiffrement est base sur la 
theorie des codes algebriques. II est base sur 
le probleme du decodage de codes lineaires, 

15 

- ElGamal : 

Ce systeme de chiffrement est base sur la 
difficulte du logarithme discret dans un corps 
f ini . 

2C 

- Courbes elliptiques : 

Le systeme de chiffrement a courbe 
elliptique constitue une modification de 
systemes cryptogr aphiques existant pour les 

25 appliquer au domaine des courbes elliptiques. 

L' utilisation de courbes elliptiques dans 
des systemes crypt ographiques fut propose 
independamment par Victor Miller et Neal Koblitz 
30 en 1985. Les applications reelles des courbes 
elliptiques ont ete envisagees au debur des 
annees 1990. 
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L'avantage de cryptosyscemes a base de courbe 
elliptique est qu'ils fournissent une s.ecurite 
equivalents aux autres crypt osystemes mais avec 
des tallies de clef moindres . Ce gain en taille 
de cle implique une diminution des besoins en 
memoire et une reduction des temps de calcul, ce 
qui rend 1 ' utilisation des courbes elliptiques 
particulierement adaptees pour des applications 
de type carte a puce. 

□ne courbe elliptique sur un corps fini 
GF{q'^n) (q etant un nombre premier et n un 
entier) est I'ensemble des points (x,y) avec x 
I'abscisse et y I'ordonnee appartenant a GF(q^n) 
solution de I'.equation : 
y^2 = x''3 + a*x+b 

si q est sup^rieur ou egal a 3 
et y''2 + x*y=x'^3 + a*x'^2+b 
si q=2 . 

II existe 2 precedes pour representer un 
point d' une courbe elliptique : 

Premiereraent , la representation en 

coordonnees affine; dans ce precede, un point P 
de la courbe elliptique est represente par ses 
coordonnees (x,y). 

Deuxiement, la representation en coordonnees 
pro j ect ives . 

L'avantage de la representation en coordonnees 
projectives esr qu'elle permet d'eviter les 
divisions dans le corps fini, lesdites divisions 
etant les operations les plus couteuses en temps 
de calcul . 
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La representation en coordonnes projectives le 
plus couramment utilisee est celle consistant a 
representer un point P de la courbe elliptique 
par les coordonnees (X,Y,Z), telles que x=X/Z et 
5 y = Y/Z'^3. 

Les coordonnees projectives d'un pcint ne sont 
pas uniques parce que le triplet (X,y,Z) . et le 
triplet (X^2*X, A.^.3*Y, X*Z) representent le meme 
point quelque soit 1' element X appartenant au 
10 corps fini sur iequel est defini la courbe 
elliptique . 

Les 2 classes de courbes les plus utilisees en 
crypt ographie sont les suivantes : 

15 

1) Courbes definies sur le 
(ensemble des enriers modulo 
nombre premier) ayant 
y/v2 = x''3 + a*x + b 

20 

2) Courbes definies sur le corps fini GF(2^n) 
ayant pour equation 

y^2 + x*y=x''3 + a*x^2-fb 

25 Pour chacune de ces deux classes de courbes, on 
definit les operations d'addition de point et de 
doublement de point. 

L' addition de point est I'operation qui etant 
donne deux points P et Q calcule la somme R=P + Q, 
30 R etant un point de' la courbe dont les 
coordonnees s'expriment a I'aide des coordonnees 
des points P et Q suivant des formules dont 
1' expression esz donnee dans I'ouvrage 



corps fini GF(p) 
p, p etant un 
pour equation 
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Elliptic curve public key cryptosystem " par 
Alfred J. Menezes. 

Le doubiement de point .est I'operation qui, 
etant donne un point P, calcule le point R=2*P, 
5 R etant un point de la courbe dont les 
coordonnees s' expriment a 1' aide des coordonnees 
du point P suivant des formulas dont 
I'expression est donnee dans 1' ouvrage 

Elliptic curve public key cryptosystem par 
10 Alfred J. Menezes. 



Les operations d'addition de point et de 
doubiement de point permet t ent de definir une 
15 operation de multiplication scalaire : etant 
donne un point P appartenant a une courbe 
elliptique et un entier d, le resultat de la 
multiplication scalaire de P par d est le point 
Q tel que Q = d * P = P + ? + p d f ois . 

20 

La securite des algorithmes de cr yp t ographie sur 
courbe s elliptiques. est basee sur la difficulte 
du probleme du logar i thme discret sur courbes 
elliptiques, ledit probleme consistant a partir 
25 de deux points Q et P appartenant a une courbe 
elliptique E, de trouver, s'il existe, un entier 
X tel que Q=x* P 



II existe de nombreux algorithmes 

30 cryptographiques bases sur le probleme du 
logarithme discret. Ces algorithmes sont 
f acilement transposables aux courbes 

ell ipt ique s . 
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Ainsi, il est possible de mettre en oeuvre des 
algorithmes assurant 1 ' au then t i f icat ion , la 
conf identialit e , le controle d' integrate et 
I'echange de cle. 

5 

Un point commun a la plupart des algorithmes 
crypt ographiques bases sur les courbes 
elliptiques est qu'ils coxnprennent comme 
parametre une .courbe elliptique definie sur un 

10 corps fini et un point P appartenant a cette 
courbe elliptique- La cle privee est un entier d 
choisi aleat oir ement . La clef publique est un 
point de la courbe Q tel que Q = d*P. Ces 
algorithmes or yptogr aphiques font generalement 

15 intervenir une multiplication scalaire dans le 
calcul d'un point R=d*T ou d est la clef 
secrete . 

Dans le paragraphe ci dessous, on decrit un 
20 algorithme de chiffrement a base de courbe 
elliptique. Ce schema est analogue au schema de 
chiffrement. d'El Gamal. Un message m est chiffre 
de la maniere suivante : 

25 Le chiffreur choisit un entier k aleatoirement 
et calcule les point s ' k* P= ( xl , yl ) et k*Q=(x2,y2) 

de la courbe, et I'entier c= x2 + m. Le chiffre 
de m est le triplet (xl,yl,c) . 

Le dechiffreur qui possede d dechiffre m en 
30 calculant : 

( x' 2 , y' 2 ) =d ( xl , yl ) et m=c-x'2 
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Pour realiser les multiplications scalaires 
necessaires dans les procedes de calcul decrits 
precedemment-, plusieurs algorithmes existent : 

Algorithme " double and add " ; 
Algorithrae " addi t ion-soust raction " 
Algorithme avec chaines d'addition ; 
Algorithme avec fenetre ; 
Algorithme avec representation signee. 



Cette liste n'est pas exhaustive. L'algorithme 
le plus simple et le plus utilise est 
l'algorithme " double and add ". L'algorithme 
double and add " prend en entree un point . P 

15 appartenant a une courbe elliptique donnee et un 
entier d. L'entier d est note d= ( d ( t ) , d ( t - 1 ) , 

ou (d (t) , d (t-1) , d (0) ) ' est la 

representation binaire de d, avec d(t) le bit de 
poids fort et d(0) le bit de poids faible. 

20 L'algorithme retourne en sortie le point Q=d.P. 

L'algorithme " double and add " comporte les 3 
Stapes suivantes : 

25 1) Initialiser le point Q avec la valeur P 

2) Pour i allant de t-1 a 0 executer : 
2a) Remplacer Q par 2Q 

2b) Si. d(i)=l remplacer Q par Q + P 

3) Retourner Q, 



30 
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II est apparu que 1 ' implementation sur carte a 
puce d'un algorithme de chiffrement a cle 
publique du, type courbe, elliptique etait 
vulnerable a des attaques consistant en une 
5 analyse dif f erent ielle de consommation de 
courant permettant de retrouver la cle privee de 
dechi f f r ement - Ces attaques sent ap.pelees 
attaques DPA, acronyme pour Differential Power 
Analysis. Le principe de ces attaques DPA repose 
10 sur le fait que la consommation de courant du 
micr oproce s s e u r executant des instructions varie 
selon.la donnee manipulee. 

En particuiier, lorsqu'une instruction manipule 
15 une donnee dont un bit particulier est constant, 
la valeur des autres bits pouvant varier, 
1' analyse de la consommation de courant liee a 
1 ' instruct ion montre que la consommation moyenne 
de 1 ' ins t rue t ion n'est pas la meme suivant que 
20 le bit particulier prend la valeur 0 ou 1. 
L'atraque de type DPA permet done d'obtenir des 
informations supplement aires sur les donnees 
inte rmediaires manipulees par le microprocesseur 
de la carte lors de 1' execution d'un algorithme 
25 crypt ographique . Ces informations 

supplementair e s peuvent dans certain cas 
permettre de reveler les parametres prives de 
1' algorithme de de ch i f f r ement , rendant le 
systeme cr ypt ogr aphique non sur. 
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Dans la suite de ce document on decrit un 
precede d'attaque DPA sur un algorithme de type 
courbe elliptique realisant. une operation du 
type multiplication scalaire d'un point P par un 
entier d, I'entier d etant la cle secrete. Cette 
attaque permet de reveler directement la cle 
secrete d. Elle compromet done gravement la 
securite de 1 ' implementation de courbes 
elliptiques sur une carte a puce. 



La premiere etape de 1' attaque est 
1' enregistrement de la consommation de courant 
correspondant a 1' execution de I'algorithme 
double and add " decrit precedemment pour . N 
15 points distincts P(l),..., P(N). Dans un 
algorithme a base de courbes elliptiques, le 
microprocesseur de la carte a puce va effectuer 
N multiplications scalaires d . P ( 1 ),..., d . P ( N ) . 

20 Pour la clarte de la description de 1' attaque, 
on commence par decrire une methode permettant 
d'obtenir la valeur du bit d(t-l) de la cle 
secrete d, ou ( d { t ) , d { t- 1 ) , ... , d(0)) est la 
representation binaire de d, avec d(t) le bit de 

25 poids fort et d(0) le bit de poids faible. On 
donne ensuite la description d'un algorithme qui 
permet de retrouver la valeur de d. 

On groupe les points P(l) a P(N) suivant la 
30 valeur du dernier bit de I'abscisse de 4.P, ou P 
designe un des points P(l) a P(N). Le premier 
groupe est constitue des points P tels. que le 
dernier bit de I'abscisse de 4.P est egal ^ i. 
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Le second groupe est ^ const itue des points P tels 
que le dernier bit de I'abscisse de 4,P est egal 
a 0. On calcu-le la moyenne des con s onuna t i ons de 
courant cor respondant a chacun des deux groupes, 
5 et on calcule la courbe de difference entre ces 
deux moyennes. 

Si le bit d(t"l) de d est egal a 0, alors 
1 ' algor i thme de multiplication scalaire 

10 pr ecedemme nt decrit calcule et met en memoire la 
valeur de 4. P. Cela signifie que lors de 
I'execution de I'algorithme dans une carte a 
puce, le microprocesseur de la carte va 
e f f ect ivement calculer 4. P. Dans ce cas, dans .le 

15 premier groupe de message le dernier bit de la 
donnee manipulee par le microprocesseur est 
toujours a 1, et dans le deuxieme groupe de 
message . le dernier bit de la donnee manipulee 
est toujours a 0. La moyenne des consommations 

20 de courant cor respondant a chaque groupe est 
done differente. II apparait done dans la courbe 
de difference entre les 2 moyennes . un pic de 
differentiel de consommation de courant. 

25 Si au contraire le bit d(t-l) de d est egal a 
1, I'algorithme d' exponentiation decrit 

precedemment ne calcule pas le point 4. P. Lors 
de I'execution de I'algorithme par la carte a 
puce, le microprocesseur ne manipule done jamais 

30 la donnee 4. P. II n' apparait done pas de pie de 
differentiel de consommation. 
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Cette methode permet done de determiner la 
valeur du bit d(t-l) de d. 

L'algorithme decrit dans le paragraphs suivant 
5 est une generalisation de l'algorithme 
precedent. II permet de determiner la valeur de 
la cl6 secrete d. 



10 



15 



On definit I'entree par N points not^s P(l) a 
P(N) correspondant a N calculs realises par la 
carte a puce et la sortie par un entier h. 

Ledit algorithme s'effectue de la maniere 
suivante en trois etapes . 



1) Ex6cuter h=l ; 

2) Pour i allant de t-1 a 1, ex^cuter : 
2)l)Classer les points P{1) a P(N) suivant la 
valeur du dernier bit de I'abscisse de (4*h).P ; 

^0 2)2)Calculer la moyenne de consommation de 
courant pour chacun des deux groupes ; 
2)3)Calculer la difference entre les 2 
moyennes ; 

2) 4) Si la difference fait apparaitre un pic de 
5 differentiel de consommation, faire h=h*2 ; 

sinon faire h=h*2+l ; 

3) Retourner h. 

L'algorithme precedent fournit un entier h tel 
0 que d=2*h ou d=2*h+l. Pour obtenir la valeur de 
d, il suffit ensuice de tester les deux 
hypotheses possibles. 
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L'attaque de "cype DPA decrite permet done de 
retrouver la cle privee d. 

Le precede de 1' invention consiste en 
5 1' elaboration d'une contra mesure permettant de 
se premunir contre l'attaque DPA decrite 
precedemment . Cette. contre mesure utilise la 
representation des points de la courbe 
elliptique en coordonnees projectives. 

10 

Comme il a ete explique precedemment, le 
representant d'un point en coordonnees 

projectives n'est pas unique* Si le corps fini 
sur lequel est defini la courbe elliptique 

15 comprend n elements, il est possible de choisir 
un representant parmi n-1 possibles. 
En choisissant un representant aleatoire d'un 
point sur lequel on effectue un calcul, les 
valeurs intermediaires du calcul deviennent 

20 elles-memes aleatoires et done imprevisibles de 
I'exterieur, ce qui rend l'attaque DPA 

precedemment decrite impossible. 

Le procede de la contre mesure consiste en une 
25 modification des operations d' addition de point 
et de doublement de point de courbe elliptiques 
definies sur les corps finis GF(p) pour p 
premier et GF.(2'"n). La modification des 
operations d' addition de point et de doublement 
30 de point de courbes elliptiques definies sur les 
corps finis GF(p) pour p premier et GF(2''n) 
s' applique quelque soir I'algorithme utilise 
pour realiser ces operations. 
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Le precede de la centre mesure consiste 
egalemenr en la definition de 4 variantes dans 
I'operation de multiplication- scalaire. Ces- 4 
variantes s'appliquent quelque soit I'algorithme 

de 

multiplication scalaire. 



5 utilise pour realiser I'operation 



Dans ce paragraphe, on decrit la modification de 
I'algorithme de doublement de point d' une courbe 
elliptique definie sur le corps fini GF(p), ou p 
est un nombre premier. La courbe elliptique est 
done definie par 1' equation suivante : 

y/.2 = x'^3 + a*x+b 

ou a et b sent des parametres entiers fixes au 
depart. 

Les coordonnees projectives du point 

Q=(X2,Y2,Z2) tel que Q=2 . P avec P=(X1,Y1,Z1) 
sent calculees par le precede suivant en 6 
etapes. Dans chacune des etapes, les calculs 
sont effectues modulo p. 

1) Calculer M=3 *X1 2 + a * Z 1 4 ; 

2) Calculer Z2=2*Y1*Z1; 

3) Calculer S = 4 *X1*Y1''2 ; 

4) Calculer X2=M'^2-2*S; 

5) Calculer T = 8*Y1''4; 

6) Calculer Y2=M* ( S -X2 ) -T . 

Le procede ds la centre mesure consiste 'en une 
modification du precede precedent. 
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Le nouveau precede de doublement de point d'une 
courbe elliptique definie sur le corps fini 
GF(p) consiste en les 8 e tapes suivantes 



1 ) 


Tirer au 


hasard un entier A. tel 


que 0<X<p; 


2) 


Cal culer 


X'1=X'"2*X1, Y'1 = X'^3*Y1 


et Z ' 1=1*Z1; 


3) 


Calculer 


M=3*X' 1^^2 + 3*3' 1''4 ; 




4) 


Cal culer 


Z2=2*Y' 1*Z' 1; 




5) 


Calculer 


S = 4*X' l*y' 1''2; 




6) 


Cal culer 


X2=M''2-2*S; 




7) 


Calculer 


T = 8 *Y' l'"4 ; 




8) 


C*a 1 c u 1 e r 


Y2=M* (S-X2) -T. 





Plus generaleirient , le precede de la contre 
15 mesure s' applique quelque soit le precede (note 
par la suite A) utilise pour realiser 
1' operation de doublement de point. Le precede A 
est rempiace par le precede A' en 3 etapes : 

20 Entree : un point P=(X1,Y1,Z1) represente en 
coordonnees projectives. 

Sortie : line point Q=(X2,Y2,Z2) represente en 
coordonnes projectives tel que Q=2 . P 

25 1) Tirer au hasard un entier X tel que 0<A,<p; 

2) Calculer X'1-X'^2*X1, y'l = X"'3*Yl et Z'1 = X*Z1, 
X'l, Y' 1 et Z'l definis^sant les coordonnees' 

du point P' = (X' 1, Y' 1, Z' 1) ; 

3) Calculer Q=2*P' a I'aide de 1 ' algori thme A. 



30 
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Les variables manipulees au cours de I'execution 
du precede A' etant aleatoire, I'attaque DPA 
precedemment decrite ne s'applique plus. 

5 Dans ce paragraphe, on decrit la modification de 
1' algorithms d' addition de point d' une courbe 
elliptique definie sur le corps fini GF(p), ou p 
est un nombre premier. 

10 Les coordonnees projectives du point 

• R= (X2, Y2, Z2) tel que R=P+Q avec P=(XO,YO,ZO) et 
Q= (X1-, Yl, Zl) sont calculees par le precede 
suivant en 12 etapes. Dans chacune des etapes, 
les calculs sont effectues modulo p. 

15 



20 



25 



1) 


Calculer 


U0==X0*Z1'^2 ; 


2) 


Calculer 


S0 = Y0*Z1'^3 ; 


3) 


Calculer 


U1-X1*Z0^2 ; 


4) 


Calculer 


S1=Y1*Z0^3 ; 


5) 


Calculer 


W=U0-U1; 


6) 


Calculer 


R=S0-S1 ; 


7) 


Calculer 


T=U0+U1 ; 


8). 


Calculer 


M=S0+S1 ; 


9) 


Calculer 


Z2=Z0*Z1*W; 


10) 


Calculer 


X2=R'"2-T*W2 ; 


11) 


Calculer 


V=T*W2-2*X2 ; 


12) 


Calculer 


2*Y2=V*R-M*W'^3 . 



Le precede de la contre mesure consiste en une 
30 modification du procede precedent. Le nouveau 
precede d' addition de point d'une courbe 
elliptique definie sur le corps fini GF(p) 
consiste en les 16 etapes suivantes : 
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1) Tirer au hasard un entier X tel que 0<>.<p; 

2) Remplacer XO'par X^2*XQ, YO par 3* YO et ZO 
par X*ZO; 

5 3) Tirer au hasard un entier ^ tel que 0<|j,<p; 

4) Remplacer XI par ^'^2*X1, Yl par ^'^3*Y1 et Zl 



par 


ii*Zl; 




5) 


Calculer 


U0 = X0*Z1'"2; 


6) 


Calculer 


SO = YO*Z1'"3 ; 


7) 


Calculer 


U1=X1*Z0'"2; 


8) 


Qalculer 


S1 = Y1*Z0'^3; 


9) 


Calculer 


W=U0-U1 ; 


10) 


Calculer 


R=S0-S1 ; 


11.) 


Calculer 


T=U0+U1 ; 


12) 


Calculer 


M=S0+S1 ; 


13) 


Calculer 


Z2=Z0*Z1*W; 


14) 


Calculer 


X2 = R''2-T*W'"2 ; 


15) 


Calculer 


V=T*W'>2-2*x:2 ; 


16) 


Calculer 


2* Y2=V*R-M*W'^3 . 



20 

Plus generalement., le precede de la contre 
mesure s' applique quelque soit le precede (note 
par la suite A) utilise pour realiser 
1' operation d' addition de point. Le precede A 
25 est remplace. par le precede A' en 5 etapes : 

Entree : deux points . P= ( XO , Y.O , Z 0 ) et 

Q=(X1,Y1,Z1) representes en coordonnees 

pro j ect ives . 

30 Sortie : le poinr R=(X2,Y2,Z2) represente en 
coordonnes projecnives tel que R=P+Q 
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1) Tirer au hasard un entier X tel que 0<A.<p; 

2) Remplacer XO par X'^2*X0, YO par X-3*YQ et ZO 
par X*ZO; 

3) Tirer au hasard un entier ^ tel que 0<jLi<p; 

4) Remplacer XI par fi-2*Xl, Yl par n^3*Yl et Zl 
par fi*Zl/' 

5) Calcul de R=P+Q a I'aide de 1 ' algori t hme A. 

Les variables manipulees au cours de I'execution 
du precede A' etant aleatoire, I'attaque DPA 
precedemment d^crite ne s' applique plus. 
Dans ce paragraphe, on decrit la modification de 
1' algorithme de doublement de point d' une courbe 
elliptique definie sur le corps fini GF(2''n). La 
courbe elliptique est done definie par 
I'equation suivante : 

y 2 + X * y =x 3 + a * X 2 + b 

ou a et b sont des parametres appartenant au 
corps fini GF(2-n) fixes au depart. On definit c 
par I'equation: 

c=h^ {2^ (n-2) ) . 

Les coordonnees projectives du point 

Q=(X2,Y2,Z2) tel que Q=2 . P avec P=(X1,Y1,Z1) 
sont calculees par le procede suivant en 4 
etapes. Dans chacune des etapes, les calculs 
sont effectues dans le corps fini GF(2'^n). 
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1} Calculer Z2=X1*Z1'"2; 

2) Calculer X2 = (XI + c * Z 1 2 ) 4 ; 

3) Calculer U = Z2 -hXl ^ 2 + Y 1 * 2 1 ; 

4) Calculer Y2-X1 4 * Z 2 + U *X2.. 

5 

Le precede de la centre mesure consiste en une 
modification du precede precedent- Le nouveau 
precede de do.ublement de point d'lane courbe 
elliptique definie sur le corps fini GF(2'^n) 
10 consiste en les 6 etapes suivantes : 

1) Tirer au hasard un element non nul X de 
GF ( 2"n) ; 

2) Calculer X'1=X'^2*X1, Y'1 = X'^3*Y1, Z'1 = X.*21; 
15 3) Calculer Z 2 ==X ' 1 * Z ' 1 2 ; 

4) Calculer X2= {X' l+c*Z ' 1"2 ) ^ 4 ; 

5) Calculer U=Z2+X'1^2+Y'l*Z'l; 

6) Calculer Y2=X' 1^4 *Z2+U*X2 . 

20 Plus generalement , le precede de la contre 
mesure s' applique quelque seit le precede (note 
par la suite A) utilise pour realiser 
1' operation de deublement de point. Le precede A 
est remplace par le precede A' en 3 etapes : 



25 



Entree : un point P=(X1,Y1,Z1) represente en 
ceordonnees projectives. 

Sortie : une point Q=(X2,Y2,Z2) represente en 
ccordonnes projectives tel que Q==2 . P 



30 
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1) Tirer au hasard un element X non nui de 
GF(2'^n); 

2) Calculer X'1=X'^2*X1, Y'1=X'^3*Y1, Z'1 = X*Z1, 
X'l, Y'l et Z'l definissent les coordonnees 

du point P' = (X' 1, y 1, z' 1) ; 

3) Calcul de Q=2 . P' a I'aide de I'algorithme A. 
Les variables manipulees au cours de 1' execution 
du precede A' etant aleatoire, I'attaque DPA 
precedemment decrite ne s' applique plus. 

Dans ce paragraphe, on decrit la modification de 
I'algorithme d' addition de point d'une courbe 
elliptique definie sur le corps fini GF(2'^n) . 

15 Les coordonnees projectives du point 

R=(X2,Y2,Z2) tel que R=P+Q avec P=(XO,YO,ZO) et 
Q=(X1,Y1,Z1) sont calculees par le proc6de 
suivant en 12 Stapes. Dans chacune des etapes, 
les calculs sont effectues dans le corps fini 

20 GF(2'^n) . 

1) Calculer UO = XO*Z1'^2 

2) Calculer S0 = Y0*Z1'^3 

3) Calculer U1=X1*Z0''2 

4) Calculer S1 = Y1*Z0'^3 
25 5) Calculer W=U0+U1; 

6) Calculer R=S0+S1; 

7) Calculer L=Z0*W; 

8) Calculer V=R*X1+L*Y1; 

9) Calculer Z2=L*Z1; 
30 10) Calculer T=R+Z2; 

11) Calculer X2 = a ^ Z2 2 -^T *R+W 3 ; 

12) Calculer Y2 = T*X2 + V*L'^ 2 . 
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Le precede de la contfe mesure consiste en une 
modification du procede precedent. Le nouveau 
precede d' addition de point ■ d'une courbe ■ 
elliptique definie sur le corps fini GF(2'^n) 
5 consiste en les 14 etapes suivantes : 

1) Tirer au hasard un element X non nul de 
GF (2^n) ; 

2) Remplacer XO par X'^2*X0, YO par A.^3*Y0 et ZO 
par X*ZO; 

10 3) Tirer au hasard un element )i non nul de 
GF (2'^n) ; 

4) Remplacer XI par ^^2*X1, Yl par ^^3*Y1 et Zl 
par ^*Z1; 

5) Calculer U0=X0*Z1^2; 
15 6) Calculer S0 = Y0*Z1'^3; 

7) Calculer U1=X1*Z0^2; 

8) Calculer Sl^Yl^ZO'^S; 

9) Calculer W=U0+U1; 

10) Calculer R=S0+S1; 
20 11) Calculer L=ZO*W; 

12) Calculer V = R*X1-kl* Yl ; 

13) Calculer Z2=L*Z1; 

14) Calculer T=R+Z2; 

15) Calculer X2 = a * Z2 " 2 + T * R + W^ 3 ; 
25 15) Calculer Y2=T*X2+V*L'^2 ; 

Plus gener alement , le procede de la centre 
mesure s' applique quelque soit le procede (note 
par la suite A) utilise pour realiser 
I'operation d' addition de point. Le . procede A 
30 est remplace par le procede A' en 5 etapes : 



wo 00/59156 



^1^^ PCT/FROO/00603 

22 



Entree : deux points P=(XO,YO,ZO) et 

Q=(X1,Y1,Z1) representes en coordonnees 

pro j ect ives . 

Sortie : le point R=(X2,Y2,Z2) represente en 
5 coordonnes projectives tel que R=p+q 

1) Tirer au hasard un element X non nul de 
GF (2^n) ; 

2) Remplacer XO par X-2*X0, YO par X-3*Y0 et ZO 
10 par X*ZO; 

3) Tirer au hasard un element n non nul de 
GF (2^n) ; 

4) Remplacer XI par m-2*X1, Y1 par n-3*Yl et Zl- 
parjLi*Zl; 

15 5) Calcul deR=P+Q a I'aide de I'algorithme A. 

Les variables manipulees au cours de I'execution 
du precede A' etant aleatoire, I'attaque DPA 
precedemment decrite ne s'applique plus. 



20 



25 



30 



Le precede de la contre mesure consiste 
egalement en la definition de 4 variantes dans 
1' operation de multiplication scalaire. 

L' operation de multiplication scalaire fait 
appel a 1' operation de doublement de point note 
Do et a I'operation d'addition de point note Ad. 
L' operation de doublement de point modifie 
decrite precedemment est notee ' Do' et 
I'operation d' addition de point modifiee decrite 
precedemment est notee Ad' . 
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Dans ce paragraphe on decrit la premiere 
variants de modification de I'operation de 
multiplication scalaire. La premiere variante 
consiste a rendre alearoire la representation 
5 d'un point au debut du procede de calcul. Dans 
le cas de 1 ' utilisation de I'algorithme double 
and add le procede modifie de multiplication 

scalaire est le suivant en 5 etapes, Le procede 
prend en entree un point P et un entier d. 

10 L' entier d est note d= ( d ( t ) , d ( t - 1 ) , „. , d(0)), ou 
( d ( t ), d { t - 1 d ( 0 ) ) est la representation 
binaire de d, avec d(t) le bit de poids fort et 
d(0) le bit de poids faible. L' algorithme 
retourne en sortie le point Q=d.P. 

15 Cette premiere variante s * execute ... en cinq 
e t ape s : 

1) Initialiser le point Q avec la valeur P; 

2) Remplacer Q par 2.Q enutilisant le procede 
Do' ; 

20 3) Si d(t-l)=l remplacer Q par Q+P en utilisant 
le procede Ad; 

4) Pour i allant de t-2 a 0 executer : 
4a) Remplacer Q par 2Q; 

4b) Si d{i)=l remplacer Q par Q+P; 

25 5) Retourner Q. 

Plus gene r a lemen t , le procede de la premiere 
variante decrit precedemment s' applique a 
1' operation de multiplication scalaire quelque 
30 soit le procede (note par la suite A) utilise 
pour r.ealiser le calcul de la multiplication 
scalaire. Le procede A fait appel aux operations 
Do et Ad definies precedemment. 
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La premiere variante de la centre mesure 
consiste a reinplacer la premiere operation Do 
par Do' definie precedemment . 

La premiere variante permet done d' assurer que 
les variables int ermediaires manipulees lors de 
I'op^ration de multiplication scalaire sont 
aleatoires. Cela rend I'attaque DPA precedemment 
decrite inapplicable. 



Dans ce paragraphe on decrit la deuxieme 
variante de modification de 1' operation de 
multiplication scalaire. 

La deuxieme variante consiste a rendre aleatoire 
la representation d' un point au debut du precede 
de calcul et a la fin du precede de calcul. Dans 
le cas de .1 ' ut ili sa t ion de I'algorithme " double 
and add ", le proc§d6 modifie de multiplication 
scalaire est le suivant en 7 etapes . Le precede 
20 prend en entree un point P et un entier d 
L'encier d est note d= ( d ( t ) , d ( t - 1 ) , ... , d(0)), ou 
(d(t),d(t-l),...,d(0) ) esc la representation 
binaire de d, avec d(t) le bit de poids forr et 
d(0) le bit de poids f aible . L'algorithme 
25 retourne en sortie le point Q=d . P . 

Cette seconds variante s'execute en sept etapes: 

1) Initialiser le point Q avec la valeur P; 

2) Reraplacer Q par 2.Q en utilisant le precede 
30 Do' ; 

3) Si d(t-l)=l remplacer Q par Q+P en utilisant 
le procede Ad; 
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4) Pour i allant de t-2 a 1 execurer : 
4a) Remplacer Q par 2Q; 

4b) Si d(i)=l- remplacer Q par Q+P; 

5) Remplacer Q par 2.Q en utilisant le procede 
5 Do' ; 

6) Si d(0)=l remplacer Q par Q+P en utilisant 
le procede Ad ; 

7 ) Re t ourner Q . 

10 Plus gene r a 1 ement / le procede de la deuxieme- 
variante decrit precedemment s' applique a 
1' operation de multiplication scalaire quelque^ 
soit le procede (note par la suite A) utilise 
pour realiser le calcul de la multiplication 

15 scalaire. Le procede A fait appel aux operations 
Do et Ad. definies precedemment. La deuxieme 
variante de la contre mesure consiste a 
remplacer la premiere operation Do par Do' 
definie precedemment et la derniere operation Do 

20 par Do' . 

La deuxieme variante permet done d' assurer que_ 
les variables int ermediaires manipulees lors de 
1' operation de multiplication scalaire sent 
25 aleatoires. L'avantage de la deuxieme variante 
est une securite accrue contre des attaques DPA 
en fin d'algorithme de multiplication scalaire. 
En parriculier, la deuxieme variante rend- 
1 ' attaque - DPA precedemment decrite inapplicable. 

30 

Dans ce paragraphe, on decrit la troisieme 
variante de modification de 1' operation de 
mul t ipl ication scalaire. 
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La troisieme varianre consiste a rendre 
aleatoire la representation de chacun des points 
manipules au cours du- precede de multiplication 
scalaire. Dans le cas de 1 ' utilisation de 
I'algorithme " double and add le precede 

modifie _ de multiplication scalaire est le 
suivant en 4 etapes. Le procede prend en entree 
un point P et un entier d. L'entier d est note 
d=(d.(t),d(t-l),..., d(0)), ou (d{t),d(t-l),.„,d(0)) 
est la representation binaire de d, avec d(t) 1_ 
bit de poids fort et d{0) le bit de poids 
faibl-e. L'algorithme retourne en sortie le point 
Q=d.P. 



15 Cette troisieme variante s • execute en trois 
etapes : 

1) Initialiser le point Q avec le point P; 

2) Pour i allant de t-2 a 0 executer : 

Remplacer Q par 2Q en ut;ilisant le 
procede Do' ; 

Si d(i)=l remplacer Q par Q + p en 
utilisant le procede Ad' ; 

3) Retourner Q. 

25 

Plus generalement,. le procede de la troisieme 
variante decrit precederament s'applique a 
I'operation de multiplication scalaire quelque 
soit le procede (note par la suite A) utilise 
30 pour r^aliser le calcul de la multiplication 
scalaire. Le procede A fait appel aux operations 
Do et Ad definies precedemmen t . 



wo 00/59156 




PCT/FROO/00603 



La troisiexne variants de la contre mesure 
consiste a remplacer toutes les operations Do 
par Do' • et Ad par Ad' . 

5 La troisieme variante permet done d' assurer que 
les variables int ermediaires manipulees lors de 
I'operation de multiplication scalaire sont 
aleatoires- L'avantage de la troisieme variante 
par rapport a la deuxieme variante est une 
10 securite accrue contre les attaques DPA sur les 
operations int ermediaires du procede de 
multiplication scalaire. En particulier, la 
troisieme variante rend I'attaque DPA. 

precedemment decrite inapplicable. 

15 

Dans ce paragraphe on decrit la quatrieme 
variante de modification de 1' operation de 
multiplication scalaire. La quatrieme variante 
consiste a rendre aleatoire la representation de 

20 chacun des points manipules au cours du procede 
de multiplication scalaire. La quatrieme.- 
variante est une modification de la troisieme 
variante par 1 ' utilisation d' un compteur, ledit 
compteur permettant de' determiner les etapes de 

25 1' algorithms de multiplication scalaire pour 
iesquelles la representation d'un point est 
rendue aleatoire. On definit pour cela un 

I- 

parametre de securite T . Dans la pratique on 
peut prendre T = 5 . Dans le cas de 1' utilisation 
30 de I'algorithme double and add le procede 

modifie de multiplication scalaire est le 
suivant en 4 etapes . Le procede prend en entree 
un point P et un entier d. 



wo 00/59156 



28 



PCT/FROO/00603 



L'entier d esr note d= ( d ( t ) , d ( t - 1 ) d(0)), ou 

(d(t),d(t-l),...,d(0)) est la representation 
bmaire de d, avec d(t) le bit de poids fort et 
d(0) le bit. de poids faible. L'algorithme 
5 retourne en sortie le point Q=d.P. 

La quatrieme variant.e s' execute en trois Stapes: 

1) Initialiser le point Q avec le point P 
10 2) Initialiser le compteur co a la valeur T. 
3) Pour i allant de t-1 ii 0 executer : 

3a) Remplacer Q par 2Q en utilisant le 

procede Do si co est different de 0, sinon 
utiliser le procede Do' . 

Si d(i)=l remplacer Q par Q+P en 
utilisant le proced6 Ad. 

3c) Si co=0 alors r^init ialiser le compteur co 
a la valeur T. 

3d) Decrementer le compteur co. 
20 3) Retourner Q, 

Plus generalement, le procede de la troisieme 
variante decrit precedemment s' applique a 
1' operation de multiplication scalaire quelque 
25 soit le procede (not^ par la suite A) utilise 
pour realiser le calcul de la multiplication 
scalaire. Le procede A fait appel aux operations. 
Do et Ad definies precedemment. 

La variante de la troisieme centre mesure 
30 consiste a initialiser un compteur co- a la. 
valeur T. L'operation Do est remplacee par 
1' operation Do' si la valeur du compteur est 
eqale a 0. 
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Apres chaque execution des operations Do ou Do', 
le compteur est reinitialise a la valeur T s'il 
a atteint la valeur- 0 ; il est ensuite 
deer emente . 

5 

La quatrieme variante permet done d' assurer que 
les variables int ermediair es manipulees lors de 
1' operation de multiplication scalaire sont 
aleatoires. L'avantage de la quatrieme variante 
10 par rapport a la troisieme variante est une plus 
grande rapidite d' execution- La quatrieme 
variante rend I'attaque DPA precedemment decrite 
inapplicable . 

15 L' application de I'une des 4 variantes 
precedemment decrite permet done de proteger 
tout algorithme crypt ographique base sur les 
courbes elliptiques centre I'attaque de type DPA 
precedemment decrite . 



20 
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1- Procede de cont re-mesure dans un composant 
electronique mettant en oeuvre un algorithme de 
cryptographie a cle publique de type courbe 
elliptique en utilisant la representation des 
points .. de ladite courbe elliptique en 
coordonnees projectives consistant a representer 
un point P de la courbe elliptique par les 
coordonnees {X, y, z) telles que x=X/Z et 
y=Y/Z'^3, X et y etant les coordonnees du point 
de la courbe elliptique en coordonnees affines, 
ladite courbe comprenant n elements et etant 
definie sur un corps fini GF(p), p etant un 
nombre premier, ladite courbe ayant pour 
equation y-2=x-3+a*x+b, ou definie sur un corps 
15 fini GF{2-n), ladite courbe ayant pour equation 
y-2+x*y=x-3 + a*x-2+b, ou a et b sont des 
parametres entiers fixes au depart, 

ledit procede etant caracterise en ce qu'il. 
choisir un representant aleatoire P-^rmi n 

20 elemenrs possibles en coordonnees projectives 
de la courbe Elliptique et consiste en une 
modification des operations d ' addition de . point s 
et le doublement desdits points et une 
modification de 1 'operation de multiplication 

25 scalaire. 



30 
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2- Precede de contr e-me sur e selon la 
r e vendi cat ion Icaracterise en ce que le precede 
de la contre mesure s' applique quelque soit le 
precede ou algorithme, note par la suite A, 

5 utilise pour' realiser I'operation de doublement 
de point, le precede A etant- remplace par * le 
procede A' en 3 etapes, en utilisant une 
entree d^finie par un "point P=(X1,Y1,Z1) 
represents en coordonnees projectives et une 
10 sortie • definie par un point Q-(X2,Y2,Z2) 
represents en coordonne^ projectives tel que 
Q=2.P, de la courbe elliptique, lesdites etapes 
etant : 

15 1) Tirer au hasard un entier X tel que 0<X<p; 

2) Calculer X'1=X^2*X1, Y'1 = X''^3*Y1 et Z'1«X*Z1/ 
X'l, Y'l et Z'l definissant les coordonnee^ 

du point P' = (X' 1, Y' 1,Z' 1) ; 

3) Calculer Q=2*P' a 1' aide de I'algorithme A. 

20 

3- Procede de contre-mesur e selon la 
revendication 1 caracterisS en ce que 
I'algorithme de doublement de points, ou 
operations .de doublement de points d'une courbe 

25 elliptique defini sur ledit corps fini GF(p) 
s'effectue en huit etapes: 

1) Tirer au hasard un entier X tel que 0<X<p; 

2) Calculer X'1=X-2*X1, Y'1=X"3*Y1 et Z'1=X*Z1; 
30 3) Calculer M=3*X' l"2-Ha*Z ' 1^ 4 ; 

4) 'Calculer Z2=2 * Y ' 1 * Z ' 1 ; 

5) Calculer S=-4*X' 1*Y' l'^2; 

6) Calculer X2-M'^2-2*£; 

7) Calculer T = 8*Y'1'^4; 

35 8) Calculer Y2=M* ( S-X2 ) -T . 
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4- Proc^de de c?nt re-mesure selon la 

revendication l caract^rise en ce que plus 
generalexnem: le precede dela cent re-mesure 
5 s' applique quelque soit ie precede note par la 
suite A. utilise pour realiser 1 '.operation 
d'addxtion de points sur una courbe elliptique 
defini sur ledit corps fini GF(p) s'effectue en 
cinq e tapes : 

10 1) Tireir au hasard un element X non nul de 
GF (2^n) ; 

2) - Remplacer XO par A.-2*X0, YO par X-3*Y0 et ZO 
p a r A, * Z 0 ; 

3) Tirer au hasard un element n non nul de 
15 GF ; 

4) Remplacer XI par m-2*X1, Yl par ^i-3*Yl et 21 
par |J.*Z1; 

5) Calcul de R=P-HQ a I'aide de I'algorithme A. 

20 5- Precede de cont re-mesure selon la 
revendication 1. caract^rise en ce que la 
modification de I'algorithme d' addition ' de point 
d'une courbe elliptique dfefinie sur le corps 
fini GF(p),. ou p est un nombre premier, est la 
suivante: l.es coordonnSes pro j ecti ves. du point 
R=(X2,Y2,22) tel que R=P+Q avec P= (XO , YO , zO).. et 
Q=(X1,Y1,Z1) sont calculees par le precede 
suivant en 16 etapes, dans chacune des 6tapes, 
les calculs etant effectues modulo p: 



25 



30 



1) Tirer au hasard un entier X appartenant 
audit corp fini GF(p) tel que 0<X<p; 

2) Remplacer XO par X-2*XO,Y0 par X*3*Y0 et ZO 
par X ZO; 
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3) - Tirer au hasard un entier \i apppartenant a 
tei que 0<\x<p; • 

4) Remplacer XI par ^^2*X1, Yl par ^"3*Y1 et Zl 
par fi^Zl; 



5 


5 ) 


Ca 1 cule r 


UU — XU^^J. 


^ r 




6) 


Calculer 


o r\ \7 r\ '7 T 


O / 




7 ) 


Cal cule r 


U 1=X1 * z u 


^ ; 




8) 


Calculer 


S1=Y1*Z0 






9) 


Calc-uler 


W=O0-Ul ; 




10 


10) 


Calculer 


R=S0-S1 ; 






11) 


Calculer 


T=U0+U1 ; 






12) 


Calculer 


M=S0+S1 ; 






13) 


Calculer 


Z2=Z0*Z1 


*W; 




14) 


Calculer 


X2=R''2-T 




15 


15) 


Calculer 


V=T*W'"2- 


2*X2; 




16) 


Calculer 


2*Y2=V*R 


-M*W'"3 . 




6- 


Procede 


de 


centre- 



sure selon la 
revendication 1 caracterise en ce que plus 
generalement , la modification de I'algorithme 
20 d' addition de point d'une courbe elliptique 
definie sur le corps fini GF(2'"n), ou n est un 
nombre premier, est la suivante: les coordonnees 
projectives du point P=(X1,Y1,Z1) tel que R=P+Q 
et Q=(X2,Y2,Z2) sont calculees par le" procfede 
25 suivant en 3 etapes, dans chacune des etapes^ 
les calculs etant effectues modulo p: 

1) Tirer au hasard un element X non nul de 
GF (2'^n) ; 

2) Calculer XV1=X-2*X1, Y'1=A.^3*Y1, Z'1 = X*Z1, 

30 X'l, Y'l et Z'l definissent les coordonn6es du 
point P' = (X' 1, Y' 1, Z' 1) ; 

3) Calcul de Q=2.P' a I'aide de I'algorithme A. 
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7" Precede de cent re-mesur e salon la 
revendication 1 caract^rise en ce que le precede 
de la centre .mesure consiste en une modification 
du. precede, precedent, le nouveau precede de 
5 doublement de point d'une courbe elliptique 
et'ant definie sur le corps . fini GF{2'"n), e*t 
consiste en les 6 etapes suivantes : 

1) Tirer au hasard un element non nul X de 
0 GF (2'^n) ; 

2) Calculer X'1-X'^2*X1, y'l=^'^3*Yl, Z'1-;l*z1; 

3) Calculer Z2=X' 1*Z' 1^2; 

4) Calculer X2= (X' l + c*Z ' 1^2 ) 4 ; 

5) Calculer U = Z2+X' l'"2+Y' 1*Z' 1 ; 

6) Calculer Y2==X' 1 4 * Z 2 +U*X2 . 

8 - Precede de contre-mesur e selon la 
revendication 1 caracterise en ce que 
Plus generalement , la modification de 

1' algorithme d' addition de point d'une courbe 
elliptique definie sur -le corps fini GF{2"^n), eii 
n est un nembre premier, est la suivante: les 
coordonnees projectives du point P={XO,YO,Z0) et 
Qr= (Xl, Yl, Z.2) en entree et R-(X2,Y2,Z2) sent 
calculees par le precede suivant en 5 etapes, 
dans chacune des etapes, les calculs etant 
effectues modulo: 

1) Tirer au hasard un element X non nul de 
GF(2^n) ; 

2) Remplacer XO par X-2*X0, YO par X^3^Y0 et ZO 
par X*ZO; 

3) Tirer au hasard un element p. non nul de 
GF(2^n) ; 



\ 
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4) Remplacer XI par ^'"2*X1, Yl par p.'^a^yi et Zl 
par M*21; 

5) Calcul de R = P + Q a I'aide de 1 ' a Igori thme A. 

9- "Procede de contre-mesur e selon la 

r evendicat ion 1- caracterise en- ce que le procede 
de la contre mesure consiste en une modification 
du procede d' addition de points d'une courbe 
elliptique definie sur le corps fini GF(2'^n)et 
consiste en les 16 etapes suivantes : 

1) Tirer au hasard un element X non nul de 
GF (Z'^n) ; 

2) Remplacer XO par X''2*X0, YO par X'^3*Y0 et ZO 
15 par X*ZO; 

3) Tirer au . hasard un element p. non nul de 
GF {2'^n) ; 

4) Remplacer XI par ^"2*X1, Yl par ]lX'^3*Y1 et Zl 
par p.*Zl; 



20 


5) 


Calculer 


U0=X0*Z1''2; 






6) 


Calculer 


S0=Y0*Z1''3; 






1) 


Calculer 


U1=X1*Z0''2; 






8) 


Calculer 


S1=Y1*Z0''3; 






9) 


Calculer 


W=U0+U1 ; 




•25 


10) 


Calculer 


R=S0+S1 ; 






11) 


Calculer 


L=ZO*W; 






12) 


Calculer 


V=R*X1+L*Y1 ; 






13) 


Calculer 


Z2=L*Z1; 






14) 


Calculer 


T=R+Z2 ; 




30 


15) 


Calculer 


X2=a*Z2 ^2 + T* 


R+W 




16) 


Calculer 


Y2=T*X2+V*L'' 


2; 



5 



10 
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10 - Precede de contre-mesure selon la 
revendicat ion 1 caracterise en ce que 
la premiere variante de modification de 
I'operat.ion de multiplication .scalaire consiste 
5 a rendre aleatoire la representation d'un point 
au debut du precede de calcul . pax 1 ' utilisation 
de 1' algorithme " double and add le proced6 

modifie , de multiplication scalaire est le 
suivant en 5 etapes, en prenant en entree un 
10 point P et un entier d,l'entier d etant note 
d=(d(t) ,d(t-l) d(0)), ou {cl(t) ,d(t-l) ,...,d(0)) 

est la represent ation- binaire de d, avec d(t) le 
bit de poids fort et d{0) le bit -de poids 
faible, 1' algorithme retournant en sortie le 
15 point- Q=d.P, le proc^d^ Do etant le procede de 
doublement de points, le procede Do' etant le 
procede de "doublement des points modifies 
suivant 1 ' une quelconque des r evendications 
precedentes, cette premiere variante s' executant 
20 en cinq etapes : 

1) Initialiiser le point Q avec la valeur P; 

2) Remplacer Q par 2.Q en utilisant le procede 
Do' ; 

3) Si d(t-l)=l remplacer Q par Q + P en. utilisanf 
25 le procede Ad/ le proc6d§ Ad 6tant le precede' 

d'additionde points; 

4) Pour i allant de t-2 a 0 ex6cuter : 
4a) Remplacer Q par 2Q; 

Si d(i)=l remplacer Q par Q + P; 
30 5) Retourner Q. 
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11- Procede de contr e-mes ure selon La 
revendication 1 caracterise en ce que la 
deuxieme variante de i'operati.on de 
multiplication sqalaire consiste a rendre 

5 aleatoi-re la representation d'un point au debut 
du procede de calcul et a la fin- du procede de 
calcul, ceci dans le cas de 1 ' utilisation de 
1 ' algor i thme double and add 

le procede modifie de multiplication scalaire 
10 etant le suivant en 7 etapes, ' prenant en entree 
un point P et un entier *d, I'entier d etant note* 
d=(d(t) ,d(t-l") d{0) ) , ou (d(t) ,d{t-l) ,...,d(0) )^ 

est la representation binaire de d, avec d(t) le 
bit de poids fort et d(0) le bit de poids 
15 faible,. 1 ' algor i thme retournant en sortie le 
point Q=d. P, ladite seconde variante s' executant 
en' sept etapes : 

1) Initialiser le point Q avec la valeur P; 

2) Remplacer Q par 2,Q en utilisant le procede 
20 Do' ; 

3) Si d{t-l)=l remplacer Q par Q+P en utilisant 
le procede Ad; 

4) Pour i allant de t-2 a 1 executer : 
4a) Remplacer Q par 2Q; 

25 4b) Si d{i)=l remplacer Q par Q+P; 

5) Remplacer Q par 2.Q en utilisant le procede 
Do' ; 

6) Si d(0)=l remplacer Q par Q+P en utilisant 
le procede Ad; 

30 7) Retourner Q. 

12- Procede de cbntre-mesur e selon la 
revendication 1 caracterise en ce que la 
troisieme variante de 1' operation de 

35 multiplication scalaire s ' execute en trois 
etapes : 
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1) Initialiser le point Q avec le point P; 

2) Four i allant de t-2 a 0 executer : 

2a) Remplacer Q par 2Q en utilisa-nt le 

5 procede Do ' ; 

Si d(i)=l remplacer Q par Q + p en 
utilisant le procede Ad', Ad' etant le procede 
d' addition des points modifies suivant les 
re'vendicat ions pre cedent es ; 
10 3) Retourner Q. 



la 



^3- Procede de cont r e-mesur e selon 

revendication 1 caracterise en ce que la 
quatrieme variante de I'operation de 

15 multiplication scaiaire s'execute en trois 
etapes : 

1) Initialiser le point Q avec le point P 

2) Initialiser le compteur co a la valeur T. 

3) Pour i aliant de t-1 a 0 executer : 

2° 3a) Remplacer Q par 2Q en utilisant le 

procede Do si co est different de 0^ sinon 
utiliser le procede Do' . 

3b) Si .d(i)=l remplacer Q par Q + p en 

utilisant le procede Ad. 

25 3c). Si co = 0 alors reinit ialiser le compteur co 
a la valeur T . 

3d) Decrementer le compteur co, 
3) Retourner Q- 

14- Composant electronique utilisant le procede 
30 selon 1 ' une quelconque des revedi cations 
precedentes caracterise en ce qu*il pent etre 
une carte a puce. 
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V. Reasoned statement under Article 35(2) with regard to aovelt}-, inventive step or industrial applicabiiit> ; 



citations and explanations supporting such statement 

1 . Statement 

Novelty (N) Claims 1-13 VES 

Claims NO 

Inventive step (IS) Claims 1-12 YES 

Claims jsjO 

Industrial ^plicability (lA) Claims 1-13 yES 

Claims NO 

2. Citations and explanations 



The invention concerns a countermeasure process (Claim 1) 
for electronic components (e.g. chip card) implementing an 
encryption algorithm with a public key of the elliptical 
curve type, as well as an electronic component using this 
process (use Claim 13) . 

Prior art : 

The article by MENEZES (Dl) describes an encryption 
algorithm with a public key of the elliptical curve type 
using the representation of the points of said elliptical 
curve in a system of projection co-ordinates and 
performing operations of point duplication, point addition 
and scalar multiplication of the points on the elliptical 
curve . 

Problem: 

The implementation on a chip card of such an algorithm is 
open to so-called DPA attacks, which consist in a 
differential analysis of the power consumption of the data 
processing microprocessor and enable the private 
encryption key to be found. 
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Invention : 

Claim 1 defines a countermeasure process to ward off such 
attacks. This process is based on the choice of a random 
representative of a point on the elliptical curve on which 
calculation is performed and comprises a modified point 
duplication operation as defined in the characterising 
portion of the claim. 

Thus, the choice of a random representative of a point on 
which calculation is performed makes the intermediate 
calculated values random as well and hence invulnerable to 
DPA attacks. 

This approach is not known and cannot be derived from the 
single search report citation, document Dl. 

Claims 2 to 12 are dependent on Claim 1 and therefore also 
meet the PCT requirements for novelty and inventive step, 
as well as use Claim 13 . 
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VUL Certain observations on the international application 

The following observations on the clarity of the claims, description, and drawings or on the question v^iiether the claims are fully 
supported by the description, are made: 

Claim^J^^doas.-'m^ meet the requirements of PCT 

Article 6 for clarity because the modifications to the 
^ point addition and scalar multiplication operations are 
not defined in Claim 1 but rather in the dependent claims. 
As a result, the restrictions intended by these features 
are not clear from this claim, which therefore contravenes 
PCT Article 6 . 
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CLAIMS 

1. A countermeasure method in an electronic 
component implementing an elliptical curve type public 
5 key encryption algorithm using the representation of 
the points of the said elliptical curve in projective 
coordinates, consisting in representing a point P on 
the elliptical curve by the coordinates (X, Y, Z) such 
that x=X/Z and y=Y/Z^3, x and y being the coordinates 

10 of the point on the elliptical curve in terms of affine 
coordinates, the said curve comprising n elements and 
being defined on a finite field GF{p), p being a prime 
number, the said curve having the equation 
y/s2=x^3+a*x+b, or defined on a finite field GF(2"'n), 

15 the said curve having the equation y^2+x*y=x^3+a*x'^2+b, 
where a and b are integer parameters fixed at the 
start, 

the said method being characterised in that it 
chooses a random representative from amongst n possible 

20 elements in terms of projective coordinates of the 
elliptical curve and consists of a modification of the 
operations of addition of points and doubling of the 
said points and a modification of the scalar 
multiplication operation. 

25 2. A countermeasure method according to Claim 1, 

characterised in that the countermeasure applies 
whatever the method or algorithm, hereinafter denoted 
A, used for performing the point doubling operation, 
the method A being replaced by the method A' in three 

30 steps, using an input defined by a point P=(X1,Y1,Z1) 
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represented in terms of projective coordinates and an 
output defined by a point Q=(X2,Y2,Z2) represented in 
terms of projective coordinates, such that Q=2.P, of 
the elliptical curve, the said steps being: 
5 1) Drawing at random an integer X such that 

0<X<p; 

2) Calculating X' 1=X^2*X1, Y' 1->.'"3*Y1 and 

Z'1=X*Z1,'> X'l, Y'l and Z'l defining the coordinates of 
the point P' = (X' 1, Y' 1, Z' 1) ; 
10 3) Calculating Q=2*P' by means of the algorithm 

A. 

3. A countermeasure method according to Claim 1, 
characterised in that the point doubling algorithm, or 
operations of doubling points on an elliptical curve 
15 defined on the said finite field GF{p), is effected in 
eight steps: 





1) 


Drawing 


at random an 


integer X such that 




0<X-<p; 










2) 


Calculate 


X'l=?i^2*Xl, Y' 


1=A.^3*Y1 and Z'1=:V*Z1; 


20 


3) 


Calculate 


M=3*X' l'^2 + a*Z' 


l'^4; 




4) 


Calculate 


Z2=2*Y' 1*Z' 1; 






5) 


Calculate 


S=4*X' 1*Y' 1^2; 






6) 


Calculate 


X2=M^2-2*S; 






7) 


Calculate 


T=8*Y' 1^4 ; 




25 


8) 


Calculate 


Y2=M* (S-X2) -T. 






4 , 


A countermeasure method 


according to Claim 1, 



characterised in that more generally the countermeasure 
method applies whatever the method denoted hereinafter 
A used for performing the points addition operation on 
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an elliptical curve defined on the said finite field 
GF(p) is effected in five steps: 

1) Drawing at random a non-zero integer X of 
GF(2^n); 

5 2) Replacing XO with ^'^2*X0, YO with X^3*Y0 and 

ZO with X*ZO; 

3) Drawing at random a non-zero integer ]x of 
GF{2^n) ; 

4) Replacing XI with ^''2*X1, Yl with fi^3*Yl and 
10 Zl with |i*Zl; 

5) Calculating R=P+Q by means of algorithm A. 

5. A countermeasure method according to Claim 1, 
characterised in that the modification of the point 
addition algorithm for an elliptical curve defined on 

15 the finite field GF(p), where p is a prime number, is 
as follows: the projective coordinates of the point 
R={X2,Y2,Z2) such that R-P+Q with P=(XO,YO,ZO) and 
Q={X1,Y1,Z1) are calculated by the following method in 
16 steps, in each of the steps the calculations being 

20 effected modulo p: 

1) Drawing at random an integer X belonging to 
the finite field GF(p) such that 0<^<p; 

2) Replacing XO with X^2*X0, YO with X'^S^YO and 
ZO with X*ZO; 

25 3) Drawing at random an integer |a. such that 

0<|i<p; 

4) Replacing XI with ^^2*X1, Yl with ^^3*Y1 and 
Zl with fi*Zl; 
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5) Calculate U0=X0*Z1^2; 

6) Calculate S0=Y0*Z1'^3; 

7) Calculate U1=X1*Z0'^2; 

8) Calculate S1=Y1*Z0'^3; 
5 9) Calculate W=U0-U1; 

10) Calculate R=S0-S1. 

11) Calculate T=U0+U1, 

12) Calculate M=S0+S1. 

13) Calculate Z2=ZO*Zl*W; 
10 14) Calculate X2=R'^2-T*W'^2 ; 

15) Calculate V=T*W^2-2*X2 ; 

16) Calculate 2* Y2=V*R-M*W^3 . 

6. A countermeasure method according to Claim 1, 
characterised in that, more generally, the modification 

15 of the point addition algorithm for an elliptical curve 
defined on the finite field GF(2^n), where n is a prime 
number, is as follows: the projective coordinates of 
the point P=(X1,Y1,Z1) such that R=P+Q and Q=(X2,Y2,Z2) 
are calculated by the following method in 3 steps, in 

20 each of the steps the calculations being carried out 
modulo p: 

1) Drawing at random a non-zero element X of 
GF(2'^n) ; 

2) Calculating X'l=X^2*Xl, Y'1=>.^3*Y1 and 
25 Z'1=A,*Z1, X'l, Y' 1 and Z' 1 defining the coordinates of 

the point P' = (X' 1 , Y' 1 , Z' 1 ) ; 

3) Calculating Q=2.P' by means of the algorithm 

A. 

7. A countermeasure method according to Claim 1, 
30 characterised in that the countermeasure method 
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consists of a modification of the previous method, the 
new point doubling method for an elliptical curve being 
defined on the finite field GF(2'^n), and consists of 
the following 6 steps: 
5 1) Drawing at random a non-zero element X of 

GF(2"n) ; 

2) Calculate X'1=X^2*X1, Y'1=X^3*Y1, Z'1=>.*Z1; 

3) Calculate Z2=X' 1*Z' 1^2 ; 

4) Calculate X2= (X' l + c*Z' 1^2 ) -^4 ; 
10 5) Calculate U=Z2+X' 1^2+Y' 1*Z ' 1 ; 

6) Calculate Y2=X' l'^4 *Z2+U*X2 . 

8. A countermeasure method according to Claim 1, 
characterised in that, more generally, the modification 
of the point addition algorithm for an elliptical curve 

15 defined on the finite field GF(2'^n), where n is a prime 
number, is as follows: the projective coordinates of 
the point P=(XO,YO,ZO) and Q={Xl,Yl,Z2) at the input 
and R=(X2,Y2,Z2) are calculated by the following method 
in 5 steps, in each of the steps the calculations being 

20 carried out modulo: 

1) Drawing at random a non-zero element X of 
GF (2'^n) ; 

2) Replacing XO with X^2*X0, YO with >-^3*Y0 and 
ZO with X*ZO; 

25 3) Drawing at random a non-zero element of 

GF(2'^n) ; 

4) Replacing XI with fx^2*Xl, Yl with |a"3*Yl and 
Zl with |a*Zl; 

5) Calculating R=P+Q using the algorithm A. 
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9. A countermeasure method according to Claim 1, 
characterised in that the countermeasure method 
consists of a modification of the point addition method 
for an elliptical curve defined on the finite field 

5 GF(2^n) and consists of the following 16 steps: 

1) Drawing at random a non-zero element X of 
GF(2^n) ; 

2) Replacing XO with X^2*X0, YO with A,'^3*Y0 and 
ZO with X*ZO; 

10 3) Drawing at random a non-zero element |a of 

GF{2^n) ; 

4) Replacing XI with |a^2*Xl, Yl with |a^3*Yl and 
Zl with |J.*Z1; 

5) Calculate U0=X0*Z1^2. 
15 6) Calculate S0=Y0*Z1^3j 

7) Calculate U1-X1*Z0^2. 

8) Calculate S1=Y1*Z0'^3, 

9) Calculate W=U0+U1; 

10) Calculate R=S0+S1; 
20 11) Calculate L=ZO*W; 

12) Calculate V=R*X1+L*Y1; 

13) Calculate Z2=L*Z1; 

14) Calculate T=R+Z2; 

15) Calculate X2=a*Z2^2+T*R+W^3 ; 
25 16) Calculate Y2=T*X2+V*L^2 . 

10. A countermeasure method according to Claim 
1, characterised in that the first variant of a 
modification of the scalar multiplication operation 
consists in making random the representation of a point 
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at the start of the calculation method by the use of 
the ''double and add" algorithm, the modified method of 
scalar multiplication is as follows in 5 steps, taking 
as an input a point P and an integer d, the integer d 
5 being denoted d= (d ( t ) , d (t-1) , d ( 0) ) , where (d(t),d(t- 
l),...,d(0)) is the binary representation of d, with d(t) 
the most significant bit and d(0) the least significant 
bit, the algorithm returning as an output the point 
Q=d.P, the method Do being the points doubling method, 
10 the method Do' being the modified points doubling 
method according to any one of the preceding claims, 
this first variant being executed in five steps: 

1) Initialising the point Q with the value P; 

2) Replacing Q with 2,Q using the method Do' ; 

15 3) If d{t-l)=l replacing Q with Q+P using the 

method Ad; 

4) For i ranging from t-2 to 0 executing: 
4a) Replacing Q with 2Q; 
4b) If d(i)=l, replacing Q with Q+P; 
20 5) Returning Q. 

11. A countermeasure method according to Claim 
1, characterised in that the second variant of the 
scalar multiplication operation consists in making 
random the representation of a point at the start of 
25 the calculation method and at the end of the 
calculation method, this in the case of the use of the 
"double and add" algorithm, 

the modified scalar multiplication method being 
the following one in 7 steps, taking as an input a 
30 point P and an integer d, the integer d being denoted 
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This Page Blank (usptoj 




34 



ci=(d(t) ,d(t-l) ,...,d(0) ) , where (d(t) ,d(t-l) ,...,d(0) ) is 
the binary representation of d, with d(t) the most 
significant bit and d(0) the least significant bit, the 
algorithm returning as an output the point Q=d.P, the 
5 said second variant being executed in seven steps: 

1) Initialising the point Q with the value P; 

2) Replacing Q with 2,Q using the method Do' ; 

3) If d(t-l)=l, replacing Q with Q+P using the 
method Ad; 

10 4) For i ranging from t-2 to 1, executing: 

4a) Replacing Q with 2Q; 
4b) If d*(i)=l, replacing Q with Q+P; 

5) Replacing Q with 2.Q using the method Do'; 

6) If d(0)=l, replacing Q with Q+P using the 
15 method Ad; 

7) Returning Q. 

12 . A countermeasure method according to Claim 
1, characterised in that the third variant of the 
scalar multiplication operation is executed in three 

20 steps: 

1) Initialising the point Q with the point P; 

2) For i ranging from t-2 to 0, executing: 
2a) Replacing Q with 2Q using the method Do' ; 

2b) If d(i)=l, replacing Q with Q+P using the 
25 method Ad' , Ad' being the method of addition of the 
modified points according to the preceding claims; 

3) Returning Q. 

13. A countermeasure method according to Claim 
1, characterised in that the fourth variant of the 
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scalar multiplication operation is executed in three 
steps : 

1) Initialising the point Q with the point P. 

2) Initialising the counter co to the value T. 
5 3) For i ranging from t-1 to 0, executing: 

3a) Replacing Q with 2Q using the method Do if 
CO is different from 0, otherwise using the method Do' . 

3b) If d(i)=l, replacing Q with Q+P using the 
method Ad. 

10 3c) If co=0 then reinitialising the counter co 

to the value T. 

3d) Decrementing the counter co . 

3 ) Returning Q . 

14. An electronic component using the method 
15 according to any one of the preceding claims, 
characterised in that it can be a smart card. 
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Demande intemationale n° PCT/FROO/00603 



I. Base du rapport 

1 . En ce qui concerne les elements de la demande intemationale (ies feuilles de remplacement qui ont 6te remises 
a I'office recepteur en reponse a une invitation faite conformement a I'article 14 sont considerees dans le present 
rapport comme "initialement deposees" et ne sont pas Jointes en annexe au rapport puisqu'elles ne contiennent 
pas de modifications (regies 70. 16et 70.17)): 

Description, pages: 

1-29 version initiale 

Revendications, N"": 

1-13 re5ue(s) le 02/05/2001 avec la lettre du 02/05/2001 

2. En ce qui concerne la langue. tous les elements indiques ci-dessus etaient a la disposition de I'administration ou 
lui ont ete remis dans la langue dans laquelle la demande intemationale a et6 deposee, sauf indication contraire 
donnee sous ce point. 

Ces elements etaient k la disposition de I'administration ou lui ont 6te remis dans la langue suivante: , qui est : 

□ la langue d'une traduction remise aux fins de la recherche Internationale (selon la r^gle 23.1(b)). 

□ la langue de publication de la demande intemationale (selon la regie 48.3(b)). 

□ la langue de la traduction remise aux fins de Texamen preliminaire intemationale (selon la r^gle 55.2 ou 



3. En ce qui concerne les sequences de nucleotides ou d'acide amines divulgu^es dans la demande 
Internationale (le cas §ch6ant), I'examen pr6liminaire Internationale a 6te effectu6 sur la base du listage des 
sequences : 

□ contenu dans la demande Internationale, sous forme ^crite. 

□ depose avec la demande Internationale, sous forme d§chiffrable par ordinateur. 

□ remis ulterleurement a radministration, sous forme ecrite. 

□ remis ulterleurement a radministration, sous forme d^chiffrable par ordinateur. 

□ La declaration, selon laquelle le listage des sequences par 6crit et fourni ult^rieurement ne va pas au-del^ 
de la divulgation faite dans la demande telle que d6pos6e, a et6 foumie. 

□ La declaration, selon laquelle les informations enregistr^es sous dechiffrable par ordinateur sont identiques a 
celles du listages des sequences Presente par ecrit, a 6t6 fournie. 

4. Les modifications ont entrain^ I'annulation : 

□ de la description, pages : 

El des revendications, n°® : 14 

□ des dessins, feuilles : 



55.3). 
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5. □ Le present rapport a 6Xe formule abstraction faite (de certaines) des modifications, qui ont ete consid6rees 
comme allant au-dela de I'expose de I'invention tel qu'il a ete depose, comme il est indique ci-apres (regie 
70.2(c)) : 

(Toute feuille de remplacement comportant des modifications de cette nature doit etre indiquee au point 1 et 
annexee au present rapport) 



6. Observations complementaires. le cas echeant : 



V. Declaration motivee selon f'article 35(2) quant a la nouveaute, Tactivite inventive et la possibilite 
d'application industrielle; citations et explications a I'appui de cette declaration 

1. Declaration 

Nouveaute Oui : Revendications 1-13 

Non : Revendications 

Activite inventive Oui: Revendications 1-13 

Non : Revendications 

Possibility d'application industrielle Oui: Revendications 1-13 

Non : Revendications 



2. Citations et explications 
voir feuille separee 



VIII. Observations relatives a la demande intemationale 

Les observations suivantes sont faites au sujet de la clart§ des revendications, de la description et des dessins 
et de la question de savoir si les revendications se fondent entierement sur la description : 
voir feuille separee 
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Concernant le point V 

Declaration motivee selon Tarticie 35(2) quant a la nouveaute, I'activite inventive 
et la possibilite d'application industrielle; citations et explications a Tappui de 
cette declaration 

L'invention conceme un precede (revendication 1) de contre-mesure pour composant 
electronique (par ex. carte a puce) mettant en oeuvre un algorithme de chiffrement a 
cle publique de type courbe elliptique, ainsi qu'un composant electronique utilisant ce 
precede (revendication d'utilisation 13). 

Etat de la technique: 

L'article de MENEZES (= D1) decrit un algorithme de cryptographie a cle publique de 
type courbe elliptique en utilisant la representation des points de ladite courbe elliptique 
en coordonnees projectives et utilisant des operations de doublement de points, 
d'addition de points et de multiplication scalaire de points de la courbe elliptique. 

Probleme: 

L'implementation sur carte a puce d'un tel algorithme est vulnerable a des attaques 
dites DPA consistant en une analyse differentielle de consommation de courant du 
microprocesseur manipulant les donnees et permettant de retrouver la cle privee de 
chiffrement. 

Invention: 

La revendication 1 definit un precede de contre-mesure pour parer a ces attaques, 
base sur le choix d'un representant aleatoire d'un point de la courbe elliptique sur 
lequel on effectue un calcul et cempertant une operation de doublement de points 
modifiee telle que definie dans la partie caracterisante de la revendication. 
Ainsi, en cheisissant un representant aleatoire d'un point sur lequel on effectue un 
calcul, les valeurs intermediaires du calcul deviennent elles-memes aleateires et done 
insensibles aux attaques DPA. 

Une telle demarche n'est pas connue ni derivable de I'unique document D1 cite dans le 
rapport de recherche. 
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Les revendications 2 a 12 sont respectivement dependantes de la revendication 1 et 
satisfont done egalement, en tant que telles, aux conditions requises par le PCT en ce 
qui concerne la nouveaute et Tactivite inventive, ainsi que la revendication d'utilisation 
13. 



Concernant le point VIII 

Observations relatives a la demande intemationale 

La revendication 1 ne remplit pas entierement les conditions de Tarticle 6 PCT relative 
a la clarte. En effet, les modifications des operations d'addition de points et de 
multiplication scalaire ne sont pas definies dans la revendication 1 mais dans des 
revendications dependantes. De ce fait les limitations que Ton entend definir par ces 
caracteristiques ne ressortent pas clairement de cette revendication, contrairement a 
ce qui est exige a Tarticle 6 PCT. 
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1- ProcSdS de contre *mesure dans un composant 
^lectronique mettant en oeuvre un algorithtne de 
cryptogr^phie Sl cle publique de type courbe 
Slliptique en utilieant la reprfeeentation des 
5 polnta de Indite courbe elliptique en 
coordonneea project ives coneistant a representer 
un point P de la courbe elliptique par les 
coordonnSes (X, Y, Z) telles que x=>X/Z et 
y=Y/z^2, X et y etant les ccordonnSee du point 

10 de la courbe elliptique en coordonnSes af fines, 
ladite courbe comprenant n Slements et fitant 
d^finie sur un corps fini GF(p), p 6tant un 
nombre premier, ladite courbe ayant pour 
Equation y'^2 =x'*'3 i-a*x+b , ou dSfinie sur un corps 

15 fini QF(2'^n), ladite courbe ayant pour equation 
y^2+x*y=x^3ta*x^2+b/ oil a et b eont des 
pajram^tres entiers fixSs au dSpart, ledit 
procSdS choisissant un reprSsentant entier 
alfiatoire parmi n Pigments possibles en 

20 coordonnees projectives de la courbe elliptique 
et consistant en une modification des operations 
d' addition de points, de doublement desdits 
points et/ou une modification de I'opSration de 
multiplication ecalaire, caractgrisS en ce que 

25 le proc€d€ de la contre mesure e' applique 
quelque soit le procSde ou 1 ' algori thme r note 
par la suite * A, utilise pour realiser 
1' operation de doublement de point, le procSde A 
etant remplace par le procedS A' en 3 Stapes^- en 

30 utilisant une entrSe dSfinie par un point 
P=(Xl/yi,Zl) represents ' en coordonnees 

projectives et une sortie dSfinie par un* point 
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Q= (X2,Y2,Z2) 



repzSaentg 



coordonn^s 



10 



15 



20 



25 



projective© tel que Q=2,P, de la courbe 
elliptigue, lesditea Stapes ^tant: 

1) Tirer au basard un entier X tel que 0<X<p; 

2) Calculer X'1=^^2*X1., Y'1=X'^3*Y1 et Z'1=X*Z1, 
X.'l, Y'l et Z'l d^finiBsant les coordonnees 

du point P' = (X' 1,Y' 1, Z' 1) ; 

3} Calculer Q=2*P' 4 I'aide de 1 ' algorithms A. 

2- procedS de contre-mesure selon la 
revendicat ion l caractSriaS en ce que 
1 ' alcforithme de doublement de points, ou 
opgrations de doublement de points d ' une courbe 
slliptique defini sur ledit corps fini GP(p) 
s'effectue en huit Stapes: 



1) 


Tirer au 


basard un entier X tel 


que 0<X<p; 


2) 


Calculer 


X' 1=X.'*'2*X1, Y'1«1^3*Y1 


et Z'1«X*Z1; 


3) 


Calculer 


M=3*X' l'^2 + a*Z' 1^4; 




4) 


Calculer 


Z2=2*Y' 1*Z' 1 ; 




5) 


Calculer 


S=4*X' 1*Y' 1^2 J 




6) 


Calculer 


X2=M*2-2*S; 




7) 


Calculer 


T=8*Y' 1^4/ 




8) 


Calculer 


Y2=.M* (S-X2) -T. 




3- 


ProcSde de 


contre-tnesure selon la 





revendicat ion 1 caracterisfi en ce que plus 
genSralement le proc6d6 de la contre-mesure 
a 'applique quelque aoit le proc^de not^ pa^r la 
auite A utilisS pour realiaer 1» operation 
d' addition de points sur une courbe elliptique 
dSfini eur ledit corps fini GF(p) s'effectue eh 
cinq €tapes : 
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10 



30 




32 

1} Tirer au hasard un element X non nul de 
GP (2^n) ; 

2) Remplacer XO par \^2*XQ, YO par X.^3*Y0 et ZQ 
par X*ZO; 

3) Tirer au hasard un ilSment |i non nul de 
GF (2^11) ; 

4) Remplacer XI par >t'^2*Xl. Yl par }i^3*Yl et Zl 
par |4*Z1; 

5) Calcul de R=P+Q a I'aide de 1 ' algorithme A. 



4" Proc^dS de contre-mesure selon la 
revendication 1 caractSrise en ce que la 
modification de 1 ' algori thme d' addition de point 
d'une cQurbe elliptique d^finie sur le corps 

15 fini GF(p) , oia p est un nombre premier, est la 
suivante: les coordonn^ee projectivee du point 
R«(X2,Y2,Z2) tel que R=P+Q avec P== (XO , YO , ZQ ) et 
Q=(X1,Y1,Z1) Bont calcul4es par le procSd€ 
auivant en 16 Stapes, dans chacune des etapea, 

20 lee calculs etant effectuSs modulo p; 

1) Tirer au Jiasard un entier X appartenant 
audit corps fi^ai GP(p) tel que 0<A.<p; 
2> Remplacer XO par X'^2*X0,Y0 par X'*'3*Y0 et ZO 
25 par X ZO; 

3) Tirer au hasaqrd un entier \i appartenant a 
tel que 0<fi<p; 

4) Remplacer Xl par n^2*Xl, Yl par ^'^S^Yl et Zl 
par fi*Zl; 



5) Calculer U0=X0*Zl'^2 

6) Calculer S0=YO*Z1^3 

7) Calculer U1=X1*2;0'^2 

8) Calculer SX=»Y1*20'*'3 
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9) 

10) 

IX) 



Ca^culer 



Galculer 



Calculer 



T*U0+U1 



W=.U0-U1 



10 



15 



12) 


Calculer 


M^SO+Sl; 


13) 


Calculer 


Z2»Z0*Z1*W; 


14) 


Calculer 


X2=R'*'2-T*W'^2; 


15) 


Calculer 


V=T*W'^2-2*X2/ 


16) 


Calculer 


2*y2 «V*R-M*W*3 . 



5- ProcSdS de contre-tneBUre selon la 
revendication 1 caracterisS en ce que plus 
gengralement , la nvodif ication de 1 ' algorithme 
d' addition de point d'une courbe elliptique 
dSfinie sur le corps fini GFl2^n), oil n eet un 
nombre premier, est la auivante: les coordonnSes 
project ives du point P=:(X1,Y1,21) tel que R«P+Q 
et Q«(X2,Y2rZ2) Bont calculeea par le prooedg 
auivant en 3 Stapes, dans chacune des etapes, 
les calculs Stent effectuSs modulo p: 

1) Tirer au haeard un element k non nul de 
GF(2^n) ; 

2) Calculer X'1«^^2*X1, Y'l=^^3*yi, Z'1=X*Z1, 
X'l, yi et Z'l dSfiniBsent les coordonnSes du 
point P'«(X'l,Y'l,Z'l) ; 

3) Calcul de Q=2-P' a I'aide de I'algorithme A. 

S-ProcedS de centre -raesure selon la 

revendication 1 caractSriae en ce que le 
precede de la centre meaure coneiste en une 
modification du precede prScSdent , le nouveau 
procedS de doublement de point d'une courbe 
elliptique Stent dSfinie sur le corps fini 
GF{2*^n)/ et consists en lee ' 6 Stapes 
suivantes : 
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1) Tiqrer au hasard un §l§ment . non nul k de 
QP (2^n) f 

2} Calculer X'1=X^2*X1, Y'1«^'^3*Y1, Z'1=X*Z1; 
3) Calculer Z2aX' 1*Z' 1^2 ? 
5 4) Calculer X2« (X' l + c*Z' l'^2) ^4 ; 

5) Calculer U^Z2+X' 1^2+Y' 1*Z ' 1 ; 

6) Calculer Y2«X' 1^4*Z2+U*X2 . 

7- ProcedS de centre -mesure selon la 
10 revendioation 1 caracterisS en ce que 

plus gSnSralement , la modification de 
1' algorithme d' addition de point "d'une courbe 
elliptique dSfinie sur le corps fini GF (2^n) , oCl 
n est un nombre premier/ est la suivante: les 
15 coordonnSee projectives du point ?=» (XO , YO , ZO ) et 
Q=(X1,Y1,Z2) en entree et R=(X2,Y2,Z2) eont 
calculSea par le procgdS euivant en 5 etapesy 
dane chacune des itapes, les calculs 6tant 
effectuSs modulo: 

20 

1) Tirer au haeard un glSment X non nul de 
GP(2^n); 

2) Remplacer XO par >u'^2*X0, YO par ?l*3*Y0 et ZO 
_^'par X*ZO; 

25 3) Tirer au hasard un Pigment )x non nul de 
GF(2^n) ; 

4) Remplacer XI par ^'*'2*'X1, Yl par ^t'^3*Yl et Zl 
pay |^*Z1; 

5) Calcul de R=P^Q a I'aide de 1' algorithme A. 



revendication 1 caractSrisS en ce que le procSdS 
de la contre mesure consiste en une modification 
du precede d' addition de points d'une courbe 



ProcSde 



contre -me sure 



selon 
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elliptique d^flnie sur le corps fini GP(2'^n)et 
consiete en les 16 Stapes euivantea : 

1) Tirer 9U hasard un Aliment X noii nul de 
5 GP(2^ii); 

2) Remplacer XO par X'^2*X0, YO par X^3«Y0 et ZO 
par 3L*20; 

3) Tirer au hasard un element n non nul de 
GP {2^n) 1 

10 4) Reniplacer XI par n*2*Xl, Yl par n^3*Yl et Zl 



par 


|A*Z1; 




S) 


Calculer 


U0=X0*Z1'^2 ; 


6) 


Galculer 


S0=Y0*Z1'^3 ; 


7) 


Calculer 


U1=X1*Z0^2 ; 


B) 


Galculer 


S1=Y1*Z0^3 ; 


9) 


Galculer 


W=UQ+U1 ; 


10) 


Galculer 


R<sSO+Sl ; 


11) 


Galculer 


I<=ZQ*W; 


12) 


Galculer 


V=R*X1+L*Y1; 


13) 


Galculer 


Z2=L*Z1 7 


14) 


Galculer 


Tc=R+Z2 ; 


15) 


Galculer 


X2=a*Z2^2+T*R+W*3 ; 


IS) 


Galculer 


Y2 = T*X2+V*L'^2 ; 



25 9- ProcSde de contre-mesure selon la 
revendication 1 caracterise en ce que 
la premiera variante de modification de 
1' operation de multiplication scalaire coneiste 
a rendre aleq,toire la representation d'un point 

30 au debut du procSdS de c^lcul par 1 ' utilieat ion 
de 1 ' algoritiime double and add " , le precede 
modifie de multiplication acalaire est le 
suivant en 5 Stapes, en prenant en entree un 
point P et un entier d,l'entier d 6tant riotS 

35 d=(d(t) ,d(t-l) d{0) ) , ou (d{t) ,d(t-i) ,.„,d{0) ) 
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est la reprSsentat ion binaire de d, avec d(t) le 
bit de poids fort et d(0) le bit de poids 
foible, I'algorithme retournant en sortie le 
point Q«d.P, le proeSdS Do etant le proc4dS de 
doublement de points, le procede Do' etant le 
procfidfi de doublement dee points modifies 
suivant 1 ' uae quelconque des revendicatione 
prec^dentes, cette premiere variante a 'executant 
en cinq Stapes: 

1) Initialiser le point Q avec la valeur P; 

2) Remplacer Q pg.r 2.Q en utilieant le procSdS 
DO' ; 

3) Si d{t-l)=l rempl^cer Q par Q+P en utilisant 
le procfidS Ad, le procedS Ad Stent le proc§dS 
d' addition de points-? 

4) Pour i allant de t-2 a 0 exScuter : 
4a)Rempl^cer Q par 2Q; 

4b) si d(i)=l remplacer Q par Q+P; 

5) Retourner Q. 

10- ProcidS de contre-mesure selon la 
revendication l caractSrie^ en ce que la 
deuxieme variante de 1» operation de 

multiplication acalaire conaiste Sl reridre 
^l^atoire la representation d'un point au dfibut 
du procedg de calcul et & la fin du pyocSde de 
calcul, ceci dans le cap de 1 ' utilisation de 
I' algorithme ^ double and add , 

le procedS modifig de multiplication scalaire 
Stant le suivant en 7 Stapes, prenant en entrge 
un point P et un entier d, I'entier d etant notS 
d«(d(t) ,d(t-l) d(0) ) , . ou (d(t) ,d{t-l) ,.«,d(o) ) 

est la representation binaire de d, avec d(t) le 
bit de poids fort et d(0) le bit de poids 
faible, 1 ' algorithme retournant en sortie le 
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37 

point Q=d.P, ladite seconde variante s' executant 
en sept Stapes: 

1) Initialiser le point Q ayec la valeur P; 

2) Hemplacer Q par 2.Q en utilisant le procSde 
5 DO' ; 

3) Si d{t-l)=l remplacer Q par Q+P en utilisant 
le proeSde Ad; 

4) Pour i allant de t-2 a 1 exScuter : 
4a) Reiuplacer Q par 2Q; 

10 4b) Si d(i)=l remplacer Q par Q+P; 

5) Remplacer Q par 2.Q en utilisant le procedS 
DC ; 

S) Si d(0)a:l remplacer Q par Q+p en utilisant 
le procfide Ad; 
IS 7) Retourner Q. 

11-Procfide de contre-mesure selon la 
revendication 1 caractgrise en ce cjue la 
troisi^Tue variante de 1" operation de 
20 multiplication scalaire a 'execute en trois 

Stapes: 

1) Initialiser le point Q avec le point P; 

2) Pour i allant de t-2 a 0 exScuter ; 

25 2a) Remplacer Q par 2Q en utilisant le 

proc6d§ Do' ; 

2b) Si d(i)=l remplacer Q par Q+P en 
utilisant le p3:ocSd4 Ad' , Ad' etant le procSdS 
d' addition des points modifies euivant lee 

30 pevendicatione prScSdentes; 

3) Retourner Q, 



12- ProcedS de contre-mesure selon la 
revendication 1 caractSrisS en ce que la 
35 quatrieme variante de 1' operation de 
multiplication ecalaire s 'execute en 3 Stapes: 
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1) Initialiser le point Q avec le point P 

2) Initialiser le compteur co k la valeur T. 

3) Pour i allant de t-1 3. 0 exficuter : 

3a)Remplacer Q par 2Q en utilisant le 
5 procSc^S Do ^i co est different de 0, sinon 
utiliaer le procedS Do' . 

3b) Si d(i)al remplacer Q par Q+P en 
utilieant le procedS Ad. 



10 CO k 1^ valeur T. 

3d) D^crSment er le compteur co. 
4) Retourner Q, 

13- Compoeant Slectronique utiliaant le proe^dS 
15 eelon l»une quelconque des revendicationp 
prScedentes caract6riae en ce qu'il peut etre 
une C4rte a puce. 



3c) Si co=0 alore reinitialieer le compteur 
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(Date de priorttd (la plus aridenne) 
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Ddposant 
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Le present rapport de recherche tntematlonaie, dtat>il par fadmtnlstratlon charge de la recherche Irttemattonale, est transmis au 
ddposant corrform6ment k rartlde 18. Une oople en est transmtee au Bureau tntematlonaJ. 

Ce rapport de recherche Internationale comprend | feulUes. 

I I II est aussi acoompagnd d'une copte de chaque document rslattr k r^tat de la technique qui y est dtd. 



1 . Base du rapport 

& En ce qui cor)ceme la languei la recherche tntematk>nale a ^td effectu^ sur la t>ase de la demande tntematlonaie dans la 
langue dans laquelle elle a M ddpos^, sauf Indication oontrairs donnte sous le mdme point 

I I la recherche Internationale a 416 effiectude sur la base d'une traduction de la demande Internationale remise k Padmlnlstratlon. 

b. En ce qui conceme las sequences de nudtetides ou d'addes amln^ dlvulgu^ dans la demande Internationale (le cas ddidant), 
la recherche (ntsmatlonaie a 4tA affectum sur la base du Ustage das sconces : 

I I oontenu dans la demande tntematlonaie, sous forme dcftte. 

ddpos^ avec la demande tnterratiorude, sous forme ddchlfftatHe par ordlnateur. 
remts uttdrleurement k radmlnlstradon, sous forme talte. 
remis utt^eurement k I'admlnlstration, sous forme dMitffrable par ordlnateur. 



□ 
□ 
□ 
□ 

□ 



La declaration, selon laquelle le Ustage des sdquertces prdsentd par 4cr1t et fouml uft^eurement ne vas pas au-<leUi de la 
divulgation falte dans la demande telle que ddpos^. a M foumle. 

La declaration, selon laquelle les Informations enreglstrdes sous forme d^chlffrable par ordlnateur sortt Identiques k oetles 
du tistage des sequences prdsente par dcift, a ete foumle. 



2. 

a 



I I II a M eettme que certainea ravendicationa ne pouvaiant pas faire I'o^et d'une recherche (voir le cadre I). 
I I II y a absence d'unM de I'lnvention (voir le cadre H). 



4. En oe qui conceme le titrs^ 

[X| le texte est approuvd tel quil a 4\6 remIs par le deposant 

I I Le texte a 4t6 etabD par Tadrntnlstratlon et a la taneur sulvante: 



5. En ce qui conceme I'abr^g^ 

[y1 le texte est approuvd tel quit a etd remIs par le ddposant 

□ le texte (reprodutt dans le cadre III) a M etabll par radmlntstration contbrmdment k la rdgle 38.2b). Le ddposant peut 
prdsentBr des observations k radmlntstration dans un ddlal tfun mols k compter de la date d'expddttion du present rapport 
de recherche tntematlonaie. 

6. La figure dee deseine k pubDer avec Vabr^g^ est la Rgure n** 

I I sugg^rde par le ddposant [T| Aucune des figures 

I I parce que teddposantrfa pas suggerdde figure. n'est 6 pubOer. 

I I parce que cette figure caracterlse mleux rinventlon. 
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